OpenAI
Trang này được dịch bằng máy học. Xem bài viết gốc bằng tiếng Anh.

Cấu hình SSO

Tài liệu này hướng dẫn cách cấu hình SSO cho ChatGPT và API Platform

Đã cập nhật: 17 days ago

Điều kiện tiên quyết

Để thiết lập SSO, bạn phải:

  1. Có gói OpenAI với Bảng điều khiển Quản trị viên toàn cầu

  2. Là Quản trị viên toàn cầu

Trước khi tiếp tục, vui lòng xem lại các trang tài liệu Tổng quan về SSOQuản lý người dùng để đảm bảo bạn đã quen với kiến trúc SSO của chúng tôi.

Nếu trước đây bạn đã cấu hình SSO cho một tổ chức API Platform hoặc không gian làm việc ChatGPT, thì các thiết lập SSO của bạn sẽ có sẵn để cấu hình tại trang OpenAI Identity. Nếu không gian làm việc hoặc tổ chức mà bạn muốn bật SSO không hiển thị trong Bảng điều khiển Quản trị viên toàn cầu, vui lòng liên hệ support@openai.com.

⚠️ Người dùng của bạn sẽ bị khóa truy cập nếu SSO không được thiết lập đúng cách!

Thiết lập sai có thể khiến người dùng của bạn bị khóa khỏi các tổ chức và không gian làm việc nơi SSO được đặt là bắt buộc. Chúng tôi khuyên bạn, với tư cách là quản trị viên toàn cầu, nên giữ SSO ở chế độ Tùy chọn trong Cổng quản trị.

Trong quá trình thiết lập, hãy mở hai cửa sổ đã đăng nhập riêng biệt:

  1. Một cửa sổ đăng nhập qua chế độ ẩn danh

  2. Một cửa sổ đăng nhập qua trình duyệt thông thường của bạn

Điều này cho phép bạn kiểm tra quy trình đăng nhập và thiết lập SSO/Xác minh miền trên một cửa sổ, đồng thời hoàn tác các thay đổi nếu cần qua cửa sổ thứ hai.

Kiểm tra SSO

Nếu bạn muốn kiểm tra quy trình thiết lập mà không ảnh hưởng đến người dùng, bạn có thể thực hiện qua ứng dụng tại đây.

Việc hoàn tất kết nối thành công trên ứng dụng thử nghiệm này sẽ không liên kết với tổ chức production của bạn, cũng như không lưu kết nối đó (vì vậy bạn có thể dùng lại cùng các tham số trong phiên bản production khi đã sẵn sàng). Điều này có nghĩa là bạn có thể an toàn sử dụng nó như một sandbox hoặc môi trường thử nghiệm khi làm quen với các yêu cầu và xử lý mọi điều kiện tiên quyết còn thiếu.

Bật SSO

Để bắt đầu, hãy chuyển đến trang OpenAI Identity từ Bảng điều khiển Quản trị viên toàn cầu. Bạn cũng có thể truy cập trang đó từ liên kết trên trang “Identity & Provisioning” bên dưới phần cài đặt “Manage Workspace” trong ChatGPT hoặc tab Identity trong phần cài đặt tổ chức API Platform của bạn.

Một số ví dụ bên dưới sẽ minh họa quy trình thiết lập trong Okta, nhưng logic tương tự cũng áp dụng cho tất cả IdP SAML.

Xác minh miền

Để bật SSO, trước tiên chúng tôi yêu cầu bạn xác minh ít nhất một miền.

Quan trọng: Hãy nhớ xem lại tác động ở phía sau mà việc xác minh miền có thể gây ra đối với người dùng có miền đó.

Nhấp vào nút “+ Add Domain” và nhập DNS của bạn để bắt đầu:

Verify a new domain dialog with example.com entered and Submit available

Sau khi gửi, chúng tôi sẽ cung cấp một khóa để bạn xác minh quyền sở hữu miền của mình. Hãy chuyển đến nhà cung cấp DNS của bạn và thêm một bản ghi TXT với giá trị được cung cấp:

Image

Bản ghi TXT của bạn phải có thể truy cập được qua tra cứu DNS thì quá trình kiểm tra xác minh mới thành công.

Sau khi hoàn tất việc này trong nhà cung cấp DNS của bạn, hãy quay lại trang thiết lập và nhấp vào nút “Check”. Nếu quyền sở hữu miền của bạn được xác thực thành công, bạn sẽ thấy trạng thái được cập nhật thành “Verified.”

Domain management page with company.abc listed as Verified

Bạn có thể thêm tối đa 99 miền đã xác minh cho mỗi Cổng quản trị, và chúng tôi cung cấp thời hạn 7 ngày để bạn hoàn tất bước kiểm tra xác minh trước khi đánh dấu một miền là hết hạn. Miền chỉ có thể được xác minh trên một Cổng quản trị duy nhất. Nếu bạn cần xác minh cùng một miền trên một tổ chức hoặc không gian làm việc không có trong Cổng quản trị của mình, vui lòng liên hệ Bộ phận hỗ trợ.

Cấu hình ứng dụng của bạn

Sau khi xác minh miền thành công, bạn có thể tiếp tục thiết lập SSO bằng cách cấu hình ứng dụng IdP của mình.

Để bắt đầu, hãy nhấp vào nút “Set up SSO”:

OpenAI Admin Identity & Access page with Single Sign-On section and Set up SSO button

Chọn nhà cung cấp danh tính của bạn

Bạn có thể chọn từ danh sách các IdP phổ biến nhất hỗ trợ tích hợp SAML gốc. Nếu bạn không thấy IdP của mình trong danh sách hoặc nếu bạn muốn sử dụng kết nối OIDC, bạn có thể chọn nút kết nối Tùy chỉnh phù hợp hiển thị ở phía dưới:

Identity provider selection screen for SSO setup with common providers plus Custom SAML and Custom OIDC

Tạo/kết nối ứng dụng

Giờ đây, bạn có thể làm theo trình hướng dẫn cấu hình từng bước để hỗ trợ tạo và kết nối ứng dụng IdP của mình với chúng tôi. Tùy thuộc vào IdP bạn đang sử dụng, hướng dẫn có thể hơi khác một chút, nhưng quy trình thiết lập chung vẫn giống nhau:

OpenAI Configure Single Sign-On page with Okta selected and step 1 Create a SAML Integration

Lưu ý rằng các URL được cung cấp trong bước tạo sẽ là duy nhất cho tổ chức của bạn:

Configure SAML step with Single sign-on URL and Audience URI values to copy into Okta

Quan trọng: Nếu bạn chọn đặt lại một kết nối SSO đang hoạt động tốt, các giá trị URL này sẽ thay đổi. Khi thiết lập lại SSO, bạn sẽ cần bảo đảm cập nhật chúng trong ứng dụng của mình cho phù hợp.

Sau khi bạn đã hoàn tất thiết lập URL, bạn có thể tiếp tục xác định ánh xạ thuộc tính cho những người dùng được xác thực thông qua ứng dụng của mình.

Ánh xạ thuộc tính

Ánh xạ thuộc tính mà bạn xác định trong ứng dụng SSO của mình cuối cùng sẽ quyết định tài khoản OpenAI nào được xác thực và người dùng của bạn hiển thị như thế nào trong các sản phẩm OpenAI. Mô hình người dùng hiện tại của chúng tôi hỗ trợ ba thuộc tính:

  1. Địa chỉ email (bắt buộc trong phản hồi SAML, quyết định tài khoản nào được truy cập)

  2. Tên (không bắt buộc, nhưng được khuyến nghị)

  3. Họ (không bắt buộc, nhưng được khuyến nghị)

Lưu ý: Chúng tôi không hỗ trợ giải mã các SAML Response. Vui lòng bảo đảm rằng bạn không mã hóa phản hồi hoặc assertion của mình để chúng tôi có thể xác định chính xác các thuộc tính.

Tùy thuộc vào IdP của bạn, ánh xạ thuộc tính chính xác sẽ khác nhau. Chúng tôi khuyên bạn nên tuân theo đúng ánh xạ được mô tả cho IdP của bạn trong trình hướng dẫn thiết lập, ví dụ với Okta sẽ là:

Image

Nếu bạn thấy người dùng mới xuất hiện với địa chỉ email được đặt thành tên hiển thị của họ, vui lòng xem lại ánh xạ thuộc tính và xác nhận rằng bạn không mã hóa các phản hồi của mình.

Ngoài ra, nếu người dùng mới được yêu cầu nhập tên và ngày sinh của họ, điều này có khả năng cho thấy chúng tôi không nhận diện được giá trị tên phù hợp từ phản hồi thuộc tính của bạn.

Thay đổi email

Đôi khi, địa chỉ email của người dùng có thể được cập nhật trong IdP của bạn, ví dụ:

  • Thay đổi tên hợp pháp sau khi kết hôn

  • Công ty của họ được mua lại và họ có miền mới

  • v.v.

Nếu điều này làm thay đổi giá trị của claim emailaddress trong SAMLResponse của SSO, thì một người dùng OpenAI khác gắn với địa chỉ email mới sẽ được truy cập (và được tạo nếu trước đó chưa tồn tại) sau khi SSO thành công. Người dùng này sẽ cần được mời vào Tổ chức hoặc Không gian làm việc riêng biệt với người dùng ban đầu.

Địa chỉ email chính

Trong một số trường hợp, bạn có thể có những người dùng dùng nhiều địa chỉ email khác nhau. Đây là tình huống phổ biến ở các công ty lớn có hệ thống thư phân tán hoặc với khách hàng Edu có nhiều trường khác nhau, ví dụ:

Trong tình huống này, chúng tôi khuyên bạn nên bảo đảm rằng phản hồi SAML của bạn chỉ bao gồm một địa chỉ email duy nhất trong các thuộc tính, vì việc đưa vào nhiều email có thể gây nhầm lẫn khi chúng tôi cố liên kết phản hồi đó với một người dùng mới hoặc hiện có.

Ngoài ra, nếu người dùng có địa chỉ email tĩnh (ví dụ: UPN), chúng tôi khuyên bạn nên sử dụng địa chỉ này trong ánh xạ thuộc tính để bảo đảm họ có một tài khoản người dùng OpenAI ổn định, không bị ảnh hưởng khi các địa chỉ email khác của họ thay đổi.

Cấp quyền truy cập ứng dụng IdP

Sau khi bạn đã tạo ánh xạ thuộc tính thành công, trình hướng dẫn sẽ đưa bạn qua các bước để cấp quyền truy cập cho những người dùng phù hợp thông qua các nhóm mong muốn.

Vui lòng xem các khuyến nghị của chúng tôi về Quản lý người dùng để biết các phương pháp tốt nhất.

Thiết lập siêu dữ liệu IdP

Tại thời điểm này trong quá trình thiết lập, bạn có hai tùy chọn riêng biệt để xác định siêu dữ liệu của IdP: Cấu hình động và Cấu hình thủ công.

Cấu hình động

Đây là tùy chọn được khuyến nghị và đơn giản nhất. Với Cấu hình động, bạn chỉ cần cung cấp Metadata URL (hiện được điền bởi SSO URL và Entity ID mà bạn đã cấu hình trước đó) liên kết với ứng dụng của mình. Trình hướng dẫn thiết lập sẽ chỉ cho bạn nơi có thể tìm thấy thông tin này trong IdP của bạn:

Okta SAML app Sign On tab with Metadata URL and Copy action for uploading identity provider metadata

Cấu hình thủ công

Đúng như tên gọi, Cấu hình thủ công đòi hỏi nhiều thao tác hơn một chút. Tùy thuộc vào IdP của bạn, bạn sẽ cần nhập SSO URL và IdP issuer tương ứng, cùng với chứng chỉ x.509:

SSO setup step 5 with Manual configuration selected for entering identity provider metadata

Đăng nhập do IdP khởi tạo

Nếu bạn muốn người dùng có thể nhấp vào một ô trên bảng điều khiển của họ và được xác thực tự động, bạn có thể cấu hình xác thực do IdP khởi tạo cho ứng dụng của mình trong quá trình thiết lập. Dù quy trình chính xác sẽ khác nhau tùy theo IdP, quy trình chung sẽ sử dụng một URL được cung cấp ở dạng:

Ví dụ, Okta sẽ hướng dẫn bạn tạo một Ứng dụng Bookmark mới với URL này:

Okta Create Bookmark App step with Platform label and an OpenAI enterprise login URL entered

Trong khi đó, Entra ID sẽ cho phép bạn nhập “Sign on URL” được cung cấp vào biểu mẫu thích hợp:

Microsoft Entra Basic SAML Configuration with Identifier and Reply URL fields filled for SSO setup

Quan trọng: Nếu bạn chọn đặt lại một kết nối SSO đang hoạt động tốt, các giá trị URL này sẽ thay đổi.

Điều này có nghĩa là khi bạn cấu hình kết nối mới, bạn cũng sẽ cần cập nhật Sign on URL tương ứng, nếu không người dùng sẽ không thể xác thực qua các ô ứng dụng của họ.

Hoàn tất thiết lập

Sau khi bạn đã cấu hình siêu dữ liệu của IdP, bạn có thể nhấp vào “Continue” để tiếp tục thiết lập các ứng dụng dấu trang tùy chọn. Bước cấu hình bắt buộc cuối cùng sẽ nằm trên trang “Test Single Sign-On”:

OpenAI Configure Single Sign-On Step 8 with Continue to sign-in button for testing Okta SSO

Sau khi nhấn “Continue to sign-in,” trình hướng dẫn sẽ cố gắng kiểm tra kết nối mới của bạn. Nếu mọi thứ đều thành công, bạn sẽ thực sự bật được SSO. Giờ đây, bạn sẽ thấy điều này được phản ánh trên trang cấu hình của mình:

OpenAI Single Sign-On test succeeded confirmation page
Connection activated for ChatGPT with Okta, with test sign-in and valid metadata configuration

Người dùng trong nhóm IdP của bạn có tài khoản hoặc lời mời tương ứng giờ đây sẽ có thể đăng nhập bằng SSO:

  • Họ có thể truy cập chatgpt.com hoặc platform.openai.com, nhập email của mình, rồi xác thực sau khi chúng tôi chuyển họ đến IdP của họ

  • Họ có thể sử dụng URL Bookmark Tile mà bạn đã cấu hình (tùy chọn) trong quá trình thiết lập

Nếu bạn thấy rằng người dùng của mình không thể xác thực thành công và bạn gặp khó khăn khi hoàn tác các thay đổi, vui lòng liên hệ Bộ phận hỗ trợ để được trợ giúp ngay lập tức.

Hãy nhớ rằng việc bật SSO trên API Platform sẽ áp dụng xác minh miền cho tất cả người dùng có miền đó. Điều này có nghĩa là, ngay cả khi người dùng không thuộc tổ chức Enterprise của bạn, họ vẫn sẽ phải là thành viên trong nhóm IdP của bạn để truy cập các tổ chức cá nhân của họ.

Khắc phục sự cố đăng nhập

Nếu sau khi bật SSO, bạn gặp sự cố khi đăng nhập, bạn có thể xem trang Câu hỏi thường gặp và Khắc phục sự cố của chúng tôi để được hỗ trợ xác định các lỗi phổ biến. Nếu bạn không tìm thấy câu trả lời phù hợp ở đó, vui lòng liên hệ Bộ phận hỗ trợ.

Bài viết này có hữu ích không?